安卓间谍软件BRATA的最新版本带来了新的致命功能,比如GPS跟踪、使用多种通信渠道的能力,以及一种对设备进行出厂重置以清除任何有害活动证据的机制。
BRATA于2019年被卡巴斯基发现,是一种主要针对巴西用户的Android RAT(远程访问工具)。
2021年,安全机构Cleafy的一项研究强调了这种恶意软件在欧洲的首次亮相。它被发现针对电子银行用户,并在充当银行客服员工的犯罪分子的帮助下窃取他们的凭证。分析师们继续研究BRATA的新功能,并在一项新的研究中详细介绍了恶意软件的演变过程。
最新的BRATA恶意软件变种现在针对英国、波兰、意大利、西班牙、中国和拉丁美洲的电子银行用户。每个版本都专注于一家银行,拥有独特的覆盖集、语言和应用程序,以覆盖特定的群体。
在所有版本中,攻击者都利用类似的混淆策略,例如将APK文件放在加密的JAR或DEX包中。这种混淆有效地避免了防病毒软件的检测,如下所示。
在这方面,BRATA现在积极搜索设备上存在AV的指标,并在进入数据泄露阶段之前努力破坏任何已识别的安全工具。
键盘记录功能,支持当前的屏幕捕捉功能,是由Cleafy实验室的研究人员在最新的BRATA版本中发现的。然而,分析人士不确定它的具体用途,尽管所有的新型号都有GPS跟踪。
执行出厂重置的能力是新恶意功能中最令人担忧的。BRATA采用工厂复位作为自我保护的终止开关。然而,由于它们会清除设备,也会增加受害者突然和永久数据丢失的可能性。
最后,BRATA实现了与C2服务器的新的数据交换通道,现在支持HTTP和WebSockets。WebSockets选项为参与者提供了一个直接的、低延迟的通道,非常适合进行实时手动攻击。此外,由于WebSockets不要求每个连接都提交报头,因此可疑网络通信量减少了,因此暴露的机会也降低了。
BRATA只是众多Android银行木马和狡猾的老鼠之一,它们正在传播窃取人们的银行信息。
从谷歌Play Store安装应用程序,避免来自可疑来源的apk,并在启动前用防病毒程序扫描它们是避免被Android恶意软件感染的最佳方法。此外,要密切关注安装过程中请求的权限,避免提供应用程序基本功能所需的权限。
最后,请密切关注能源使用情况和网络通信量,以了解由在后台运行的恶意应用程序引起的任何异常峰值。
